Azure Active Directory คืออะไร
Azure Active Directory (Azure AD) ทำหน้าที่เป็นบริการระบุตัวตนและการจัดการการเข้าถึงที่มีประสิทธิภาพโดยการผสานรวมการจัดการใบรับรองดิจิทัล ความสามารถนี้ช่วยให้องค์กรสามารถรวมศูนย์การจัดการใบรับรอง ปรับปรุงความปลอดภัย และทำให้งานการดูแลระบบง่ายขึ้น ด้วยการใช้ประโยชน์จาก Azure AD องค์กรต่างๆ จะตรวจสอบให้แน่ใจว่าใบรับรองดิจิทัลของตนได้รับการจัดการด้วยความพร้อมใช้งานสูงและเป็นไปตามมาตรฐานอุตสาหกรรม ดังนั้นจึงปกป้องข้อมูลและการสื่อสารที่ละเอียดอ่อนMicrosoft Intune คืออะไร?
Microsoft Intune เพิ่มความคล่องตัวในการใช้งาน S/MIME ใบรับรองบนอุปกรณ์ต่างๆ เพิ่มความปลอดภัยอีเมลผ่านการเข้ารหัสและลายเซ็นดิจิทัล ด้วยการใช้ประโยชน์จาก Intune องค์กรต่างๆ จึงสามารถส่งมอบได้โดยอัตโนมัติ S/MIME การลงนามและใบรับรองการเข้ารหัสไปยังอุปกรณ์ที่ทำงานบน Android, iOS/iPadOS, macOS และ Windows 10/11 บนอุปกรณ์ iOS ที่ใช้โปรแกรมรับส่งเมลแบบเนทีฟ และบนอุปกรณ์ iOS และ Android ที่ใช้ Outlook S/MIME ใบรับรองจะเชื่อมโยงกับโปรไฟล์เมลโดยอัตโนมัติ ช่วยให้มั่นใจได้ถึงการบูรณาการที่ราบรื่นและความปลอดภัยของอีเมลที่ได้รับการปรับปรุง สำหรับแพลตฟอร์ม Windows และ macOS รวมถึงโปรแกรมรับส่งเมลอื่นๆ บน iOS และ Android นั้น Intune จะอำนวยความสะดวกในการเผยแพร่ S/MIME ใบรับรอง อย่างไรก็ตาม ผู้ใช้จะต้องเปิดใช้งานด้วยตนเอง S/MIME ในแอปพลิเคชันเมลของตนและเลือกใบรับรอง ความสามารถนี้ของ Intune ช่วยลดความยุ่งยากในกระบวนการปรับใช้ ทำให้มั่นใจได้ว่า S/MIME ใบรับรองพร้อมใช้งานบนอุปกรณ์ที่ได้รับการจัดการ จึงช่วยเพิ่มความปลอดภัยอีเมลโดยรวมโดยเปิดใช้งานการสื่อสารทางอีเมลที่เข้ารหัสและลงนามทั่วทั้งองค์กรเพิ่มความปลอดภัยให้กับอีเมลของคุณและปกป้องข้อมูลที่ละเอียดอ่อนด้วย SSL.com S/MIME ใบรับรอง
วิธีกำหนดค่า Microsoft Intune และ Microsoft Active Directory สำหรับ S/MIME ใบรับรอง
เบื้องต้น
รายการด้านล่างคือข้อกำหนดเบื้องต้นสำหรับ API สิ่งเหล่านี้จำเป็นต้องได้รับการกำหนดค่าบน Intune ผู้เช่าที่จะนำเข้าใบรับรองจาก SSL.com- บัญชีที่มีสิทธิ์ผู้ดูแลระบบ Intune
เพิ่มผู้ใช้และให้สิทธิ์ – Microsoft Intune | ไมโครซอฟต์เรียนรู้ - ผู้ใช้ทั้งหมดที่นำเข้าใบรับรอง PFX ควรได้รับมอบหมายใบอนุญาต Intune
มอบหมายใบอนุญาต Microsoft Intune | ไมโครซอฟต์เรียนรู้ - ติดตั้งและกำหนดค่าตัวเชื่อมต่อใบรับรอง Intune บนเซิร์ฟเวอร์ Windows
ติดตั้งตัวเชื่อมต่อใบรับรองสำหรับ Microsoft Intune – Azure | ไมโครซอฟต์เรียนรู้ - คีย์สาธารณะที่ส่งออกจากเซิร์ฟเวอร์เชื่อมต่อ Intune
ใช้ใบรับรอง PFX ที่นำเข้าใน Microsoft Intune | ไมโครซอฟต์เรียนรู้ - สร้างแอปพลิเคชันระดับองค์กรใน Microsoft Entra
คู่มือนี้อนุมานว่าแอป Enterprise จะถูกสร้างขึ้นที่ผู้เช่าแล้ว และ SSL.com จะมีข้อมูลเกี่ยวกับแอปองค์กรที่ลงทะเบียนแล้ว กระบวนการลงทะเบียนแอป Enterprise (โดยใช้พอร์ทัล Entra) มีอธิบายไว้ด้านล่าง- เข้าสู่ระบบพอร์ทัล azure.com และค้นหา รหัส Entra ของ Microsoft
- คลิก แอพพลิเคชันระดับองค์กร
- คลิก แอพพลิเคชันใหม่
- คลิก สร้างแอปพลิเคชันของคุณเอง
- ป้อนชื่อแอปพลิเคชันแล้วคลิก สร้างบัญชีตัวแทน
- ขณะนี้สร้างแอปพลิเคชันสำเร็จแล้ว
- คลิก การลงทะเบียนแอพ
- คลิก แอพพลิเคชั่นทั้งหมด
- เลือกแอปพลิเคชัน
หมายเหตุ ID แอปพลิเคชัน และ รหัสไดเรกทอรี: สิ่งเหล่านี้จะต้องส่งผ่านไปยัง API - คลิก ใบรับรองและความลับ จากนั้นเลือก ความลับของลูกค้าใหม่
- คลิก การยืนยันตัวตน และเพิ่ม URL เปลี่ยนเส้นทางเว็บของ SSL.com URL การเปลี่ยนเส้นทางคือ https://secure.ssl.com/oauth2/azure เพื่อการผลิตและ https://sandbox.ssl.com/oauth2/azure สำหรับแซนด์บ็อกซ์
- ระบุชื่อให้กับคีย์แล้วคลิก เพิ่ม
สังเกตค่าของคีย์ สิ่งนี้จะต้องส่งผ่านไปยัง API
- ตั้งค่าโปรไฟล์การนำเข้าใบรับรอง PKCS
เมื่อนำใบรับรองเข้าสู่ Intune แล้ว ให้กำหนดค่าโปรไฟล์การนำเข้าใบรับรอง PKCS และกำหนดให้กับกลุ่ม Microsoft Entra ที่เกี่ยวข้อง ขั้นตอนโดยละเอียดมีอยู่ในนี้ คู่มือ Microsoft.
ข้อกำหนดการอนุญาตสำหรับแอปพลิเคชันระดับองค์กรเพื่อนำเข้าใบรับรอง
- ภายใต้ การลงทะเบียนแอพ >> ชื่อแอปพลิเคชันคลิกสิทธิ์ API
- คลิก เพิ่มสิทธิ์.
- คลิก กราฟ Microsoft.
- คลิก สิทธิ์ที่ได้รับมอบหมาย และค้นหา user.read ทำเครื่องหมายในช่องสำหรับ ผู้ใช้ อ่าน และ ผู้ใช้.อ่าน.ทั้งหมด.
- คลิก สิทธิ์ที่ได้รับมอบหมาย และค้นหาคำว่า “กลุ่ม” ทำเครื่องหมายในช่องสำหรับ กลุ่ม ReadWrite.All.
- คลิก สิทธิ์ที่ได้รับมอบหมาย และค้นหา “DeviceManagementApps” ทำเครื่องหมายในช่องสำหรับ DeviceManagementApps.ReadWrite.All.
- ค้นหา “การกำหนดค่าการจัดการอุปกรณ์” ทำเครื่องหมายในช่องสำหรับ DeviceManagementConfiguration อ่านทั้งหมด และ DeviceManagementConfiguration.ReadWrite.All. ดำเนินการต่อเพื่อคลิก เพิ่มสิทธิ์ ปุ่ม
- คลิก เพิ่มสิทธิ์.
- เลือก กราฟ Microsoft.
- คลิก สิทธิ์การใช้งาน และค้นหาคำว่า “user.read” ทำเครื่องหมายในช่องสำหรับ ผู้ใช้.อ่าน.ทั้งหมด และ User.ReadWrite.All.
- คลิก สิทธิ์การใช้งาน และค้นหาคำว่า “กลุ่ม” ทำเครื่องหมายในช่องสำหรับ กลุ่ม ReadWrite.All.
- คลิก สิทธิ์การใช้งาน และค้นหา “deviceManagementApps” ทำเครื่องหมายในช่องสำหรับ DeviceManagementApps.ReadWrite.All
- คลิก สิทธิ์การใช้งาน และค้นหา “DeviceManagementService” ทำเครื่องหมายในช่องสำหรับ DeviceManagementService.ReadWrite.All
- ค้นหา “DeviceManagementConfiguration” และทำเครื่องหมายในช่อง DeviceManagementConfiguration อ่านทั้งหมด และ DeviceManagementConfiguration.ReadWrite.All ดำเนินการต่อเพื่อคลิก เพิ่มสิทธิ์ ปุ่ม
- เมื่อกำหนดสิทธิ์ทั้งหมดแล้ว คลิก ให้ความยินยอมของผู้ดูแลระบบสำหรับ [ชื่อองค์กร].
- คลิก ใช่ เพื่อให้อนุญาต
- การอนุญาตควรได้รับเรียบร้อยแล้ว
วิธีส่งออกใบรับรองไปยัง Azure Active Directory โดยใช้ SSL.com Azure Integration Tool
ส่วนต่อไปนี้ให้คำแนะนำเกี่ยวกับวิธีการใช้เครื่องมือการรวม Azure ของ SSL.com เพื่อส่งออกใบรับรองไปยัง Azure Active Directoryข้อกำหนดจาก SSL.com
- ข้อตกลงการตรวจสอบความถูกต้องล่วงหน้าของข้อมูลประจำตัวที่ใช้งานอยู่หรือที่เรียกว่าองค์กร PKI (EPKI) ข้อตกลง. ค้นหาคำแนะนำได้ที่นี่ (Enterprise PKI (EPKI) การตั้งค่าข้อตกลง) เพื่อส่งและเปิดใช้งานข้อตกลงนี้ เมื่อเปิดใช้งานแล้ว ก็สามารถดำเนินการตามขั้นตอนในส่วนถัดไปได้
- กำหนดค่าบัญชี Microsoft Entra และ Intune ตามที่อธิบายไว้ในส่วนก่อนหน้านี้: วิธีกำหนดค่า Microsoft Intune และ Microsoft Active Directory สำหรับ S/MIME ใบรับรอง.
กำหนดค่าการซิงค์ Azure
- เข้าสู่ระบบบัญชี SSL.com ของคุณแล้วคลิก integrations ที่เมนูด้านบน จากตัวเลือกที่แสดงไว้ ให้คลิก Azure AD.
- กรอกฟิลด์ที่จำเป็นสำหรับการรวม Azure หลังจากนั้นให้คลิกที่ ลด ปุ่ม
- รหัสลูกค้า- รหัสแอปพลิเคชัน (ไคลเอ็นต์)
- ความลับของลูกค้า- คัดลอกค่าความลับไคลเอ็นต์จากข้อมูลประจำตัวไคลเอ็นต์
- ID ผู้เช่า- รหัสไดเรกทอรี (ผู้เช่า)
- คีย์สาธารณะ Intune- คีย์สาธารณะเวอร์ชัน Base64 ที่ส่งออกจากเซิร์ฟเวอร์ตัวเชื่อมต่อ Intune สำหรับรายละเอียดเพิ่มเติม โปรดดูสิ่งนี้ ทรัพยากรของไมโครซอฟต์.
ใช้เครื่องมือบูรณาการ Azure ของ SSL.com เพื่อออก S/MIME ใบรับรอง
- เมื่อ สีฟ้า สร้างการตั้งค่าแล้ว คลิก อนุญาต ลิงค์
- คลิก ผู้ใช้ Azure เพื่อให้สามารถนำเข้ารายชื่อผู้ใช้จาก Azure เข้าสู่ระบบของ SSL.com ได้
- คุณจะได้รับแจ้งให้ลงชื่อเข้าใช้บัญชี Microsoft ของคุณ
- คลิก นำเข้าผู้ใช้ ปุ่มบนเครื่องมือการรวม Azure ของ SSL.com
- SSL.com จะแจ้งให้ทราบว่าข้อมูลของผู้ใช้ Azure ที่จะได้รับมอบหมายใบรับรองดิจิทัลนั้นอยู่ในขั้นตอนการนำเข้า โหลดหน้านี้ซ้ำเพื่อยืนยันว่านำเข้าสิ่งเหล่านี้แล้ว
- SSL.com จะแสดงรายชื่อผู้ใช้ Azure ที่ระบุด้วยชื่อ นามสกุล และที่อยู่อีเมล ทำเครื่องหมายที่ช่องสำหรับผู้ใช้ทั้งหมดที่จะได้รับมอบหมายให้มีใบรับรอง สามารถเพิ่มจำนวนผู้ใช้ที่แสดงในรายการได้โดยคลิกลูกศรแบบเลื่อนลงที่ด้านซ้ายล่างของหน้า เมื่อสรุปผู้ใช้ที่เลือกแล้ว ให้คลิก ลงทะเบียนใบรับรอง เพื่อดำเนินการต่อ
- ปฏิบัติตามข้อกำหนดสำหรับใบรับรอง
- ใบรับรองมาตรฐาน: เลือกประเภทใบรับรองที่คุณต้องการกำหนดให้กับผู้ใช้ที่เลือก
- ระยะเวลา: ระบุระยะเวลาก่อนที่ใบรับรองจะหมดอายุ
- วัตถุประสงค์ที่ตั้งใจไว้: เลือกระหว่างวัตถุประสงค์ทั่วไป การเข้ารหัส SMIME หรือการลงนาม SMIME
- หลังจากที่ตัวเลือกต่างๆ เสร็จสิ้นแล้ว ให้คลิก เพิ่ม ปุ่ม
- ใบรับรองมาตรฐาน: เลือกประเภทใบรับรองที่คุณต้องการกำหนดให้กับผู้ใช้ที่เลือก
- ผู้ใช้แต่ละคนจะได้รับการกำหนดลำดับใบรับรองใหม่จากที่นี่ เมื่อมีข้อตกลงการตรวจสอบข้อมูลประจำตัวล่วงหน้า คำสั่งซื้อแต่ละรายการจะได้รับการตรวจสอบและออกโดยอัตโนมัติ สามารถยืนยันการออกใบรับรองสำเร็จได้ด้วยการคลิก รายการสั่งซื้อ จากเมนูด้านบน ตามด้วย รายละเอียด ลิงค์ของคำสั่งเฉพาะ โดยเลื่อนลงแล้วคลิก ใบรับรองนิติบุคคลสิ้นสุด ส่วนรายละเอียดของใบรับรองจะปรากฏขึ้นพร้อมทั้งใบรับรองด้วย ออก สถานะ